`
kidiaoer
  • 浏览: 824757 次
  • 性别: Icon_minigender_1
  • 来自: 深圳
文章分类
社区版块
存档分类
最新评论

静态分析工具及使用总结

阅读更多
静态分析工具及使用总结(二)



这里主要介绍三种开源的工具,PMD、CheckStyle和FindBugs,着重是在Ant里的调用,据说商业软件JTest也是著名的代码分析工具,哈哈,要花钱的没有用过。



Checkstyle (http://checkstyle.sourceforge.net/)版本4.2

简介: Checkstyle 是一个开发工具,可以帮助程序员遵循代码规范的编写代码,

它自动的处理这些让人厌烦但却十分重要的工作,它具有高可配置性,支持绝大多数的代码规范,比如Sun推荐的代码约定(http://java.sun.com/docs/codeconv/)和其它众所周知的约定,Checkstyle可以检查代码的很多方面,从传统观点看,它主要是用来检查代码层面的,自从第三版以后,它的内部架构作了重大改变,很多其它意图的检测加了进来,现在Checkstyle可以检查像类设计的问题,重复代码,如锁的双重检查的bug模式。



配置: Checkstyle 配置插件式的modules应用在java代码上,modules是一个以

Checker module 为根的树形结构,根下的层次包括:

FileSetChecks 取一组输入文件,并提示错误信息

Filters 过滤审核事件,包括错误信息

AuditListeners 报告接受的事件

许多的检查是TreeWalker FileSetChecks module下的submodules,TreeWalker单独的转换每个java源文件成抽象的语法树,然后根据这些submodules处理得到结果,这些submodules会轮流的查看树的某个方面。Checkstyle从一个XML文档中获得配置,XML的元素指定了module的层次配置和属性,如果用命令行的方式调用Checkstyle,需要提供一个包含配置文档的文件,在Ant中调用也是。Checkstyle发布版本中的doc目录下包含一个示例配置文件sun_checks.xml,这个文件配置Checkstyle检查代码是否符合Sun的代码约定。


    如:
<module name="Checker">
    <module name="PackageHtml"/>
    <module name="TreeWalker">
        <module name="AvoidStarImport"/>
        <module name="ConstantName"/>
        <module name="EmptyBlock"/>
    </module>
</module>

在这个配置里,根Check module包括PackageHtml(检查所有的包都必须包含包说明)和TreeWalker(检查java源代码方面的),以上Checkstyle通过module的名字来装载一个类,还有其它的方式来装载module类,比如指定带包全名的类,如<module name="com.puppycrawl.tools.checkstyle.TreeWalker">。

每个module都会有一些默认的属性,如果默认值不符合你的要求,你可以指定它,更详细的参考请参阅文档。



用法: 可以在命令行下执行Checkstyle,如:

    java com.puppycrawl.tools.checkstyle.Main -c docs/sun_checks.xml \ -r src/

表示对src下的所有java源文件进行检查,而配置文件是用的sun_checks.xml

我主要介绍在Ant中的调用
      下面列出主要的Ant配置信息:
< path  id ="checkstyle.path" >    
     < fileset  dir ="${lib.dir}/checkstyle-4.2" >
         < include  name ="**/*.jar"   />
     </ fileset >
</ path >

< target  name ="checkstyle" >
     < taskdef  resource ="checkstyletask.properties"  classpathref ="checkstyle.path" />
< checkstyle  config ="${lib.dir}/checkstyle-4.2/sun_checks.xml"
        failureProperty ="checkstyle.failure"
        failOnViolation ="false" >
         <!--  uncomment to print to console as well  -->
         <!-- formatter type="plain"/ -->
         < formatter  type ="xml"  tofile ="d:\checkstyle.xml" />
         < fileset  dir ="${src.dir}" >
             < include  name ="**/*.java" />
         </ fileset >
     </ checkstyle >
     < style  in ="d:\checkstyle.xml"  out ="d:\checkstyle.html" 
style ="${lib.dir}/checkstyle-4.2/contrib/checkstyle-noframes.xsl" />
</ target >

自带检查介绍: Checkstyle 自带了很多的检查,其网站上有按功能划分的参考,分为标准

检查和可选检查,可选检查提供了J2EE方面的检查,如EJB和LocalHomeInterface等的一些检查。标准检查涵盖以下方面:

Javadoc Comments 和javadoc注释有关的检查,如检查类、方法等的javadoc注释

Naming Conventions 命名规范的检查,可以按照正则表达式去检查类、方法等的命名

Headers 检查文件是否以某些行开头,如“Copyright All rights reserved”

Imports 和import有关的检查,如检查是否有使用“*”的import

Size Violations 代码块大小的检查,如类、方法等的代码行数

Whitespace 空白处的检查,如检查是否有tab符合(’\t’)

Modifiers 修饰符号的检查,如修饰符号的顺序

Block Checks 块的检查,如检查是否有空块或不必要、无效的块等

Coding 编码相关的一系列检查,如空的条件,私有变量如果没有改变值应该声明成

Final ,代码中的魔法数字,Switch缺少default等

Class Design 类设计的有关检查,如只有私有构造函数的类应该声明为final

Duplicate Code 检查重复代码

Metrics 度量方面的检查,如布尔表达式的复杂,类依赖的复杂,算法的复杂

Miscellaneous 其它混杂的检查,如文件是否以新行结尾,TODO的注释,没有注释main

方法



扩展Checkstyle: Checkstyle 有三种方式进行扩展,编写checks、编写filters和编写

listeners 。



编写checks

Checkstyle 有两种checks,在你开始之前,你要想好想要实现哪种检查,Checkstyle的功能是由可嵌入它的modules进行扩展的,modules中也可以包含modules,它们可以构成一个树形结构,直接访问Checkstyle内核的顶级module扩展了FileSetCheck接口,实际上也是一个module,它构成树形结构的根,这很好理解,它们读入一组输入文件,并且引发错误信息。Checkstyle提供了一些FileSetCheck的扩展,比如说TreeWalker,TreeWalker分别转换java源文件成一个抽象语法树,根据每个submodules去处理结果,这些submodules会轮流检查树的某些方面。



每个java程序是由文件组织的,文件又由一些特定的结构构成,你必须对基本的java语法很了解,Checkstyle是使用ANTLR(http://www.antlr.org/)去解析java代码的,这个工具可以把java源文件中的字符流转换成一个树形的结构。Checkstyle提供了一个GUI的工具,它可以把java源文件转换成树形结构。



当ASTs(抽象语法树)工作时,我们可以很简单的通过一个方法去确定AST的节点,但这不是编写插件的方法,这些类不会具有检查功能,而TreeWalker包括遵循Check接口的一系列对象,它是一个抽象类并且提供了一些有用的方法,它提供一些以AST做参数的方法,这些方法可以对AST进行检查操作,如visitToken()。单独的Checks不能在AST里移动,而是TreeWalker会从AST的根节点到叶节点进行递归,并且调用检查方法,移动采用的是深度优先算法。

当一个检查方法调用时,TreeWalker会调用beginTree()使Checks可以做一些初始化的操作,然后从根节点到叶节点的递归过程中,会调用visitToken(),当一个节点处理完,TreeWalker从这个节点返回前会调用leaveToken(),离开根的时候会调用finishTree()。


    编写好后,我们可以通过下面方式集成:
<module name="Checker">
  <module name="TreeWalker">
    <!-- your Check goes here -->
    <module name="com.mycompany.checks.MethodLimitCheck">
      <property name="max" value="45"/>
    </module>
  </module>
</module>

这种方式编写的Checks有两个缺陷,不能确定具体的表达式的类型和不能访问其它文件的内容。另一种方式是编写FileSetChecks,编写FileSetChecks更简单,只要继承

AbstractFileSetCheck 和实现process(File[] files)方法,这种Checks没有限制,所以我们甚至可以做,找一个全局的代码问题,如未使用的public方法,重复的代码,或者像TreeWalker检查java那样检查C#代码。



编写filters

当Checks通过监听器生成报告时,审核事件上有一组的过滤器,Filter接口和类FilterSet通过一组过滤器支持审核事件的过滤。我们编写Filters可以选择实现接口Filter或继承类FilterSet。



编写listeners

一个Checkstyle listener在一个Checker检查文件的期间会监视进度,一个Checker在重大事件发生时会通知其上的listeners,比如检查开始或记录错误,listeners会适当的响应,一个Checker能附加任意数量的listeners,一次审核总会加上发布版本里的listeners以报告事件,如DefaultLogger或XMLLogger,DefaultLogger在事件发生时会输出简单的文本,而XMLLogger会输入XML文档。对一般用户来说,这两个我们已经够用了,但如果你有别的需要,那你就需要定制你的listener了,比如说,你想在Checkstyle运行时,得到详细的进度信息,或者过滤错误事件。



一个listener必须实现AuditListener接口,在一次审核过程中,Checker会通知其上的AuditListener六种事件,审核开始/结束,过滤开始/结束,记录错误/异常。有事件发生需要通知listener时的事件称为AuditEvent,一个文件相关的事件包含文件名,记录错误的事件包含错误信息,严重级别,信息产生的源比如说是一个Checker,和文件行数、和错误有关的列数,异常通知的事件包含错误的AuditEvent和异常细节。



定制listener时需实现AuditListener,如果有可配置的属性,就必须继承AutomaticBean。Checkstyle的文档里提供了两个listeners的例子,一个是使用当前的Logger记录信息CommonLoggingListener,一个是用邮件发送审核报告MailLogger。
分享到:
评论

相关推荐

    静态分析工具

    静态分析工具是软件开发过程中的重要辅助手段,它们主要用于在编码阶段就发现潜在的错误和问题,从而提高软件质量和可靠性。FindBugs 就是一款知名的静态分析工具,专门针对Java编程语言设计。这款工具能够检查Java...

    its4静态分析工具

    总结来说,ITS4作为一款静态分析工具,利用词法分析技术对Java代码进行深度扫描,有效地帮助开发者识别并修复API滥用和安全漏洞。结合其高效、自动化的特性,ITS4成为提升软件安全性和质量的重要工具。在实际开发...

    代码静态分析工具试用总结--SpecChecker

    从代码静态分析的5个方面分析SpecChecker工具的特点,有助于从各个代码静态分析工具中选用适合自己的

    华中科技大学软件安全课程设计:使用python对c语言代码进行静态分析

    本课程设计以华中科技大学软件安全课程为背景,重点讲解如何利用Python语言开发一个静态分析工具,对C语言编写的代码进行深度检测。这种实践有助于提升程序员的安全意识,提前预防可能的安全问题,降低软件开发的...

    Scan-build静态分析工具

    ### Scan-build静态分析工具:深度解析与应用指南 #### 一、Scan-build概览 **Scan-build**是一款功能强大的命令行工具,专为静态代码分析而设计,旨在辅助开发者识别和修正潜在的代码缺陷,确保软件质量。不同于...

    函数调用分析工具egypt

    egypt与Valgrind、gprof等动态分析工具相比,优势在于其静态分析特性,不需运行程序即可得到调用信息,适用于无法运行或大型项目。而Valgrind和gprof则能在运行时收集更详尽的性能数据。 总结,egypt作为一款静态...

    findbugs 1.3.9 findbugs 1.3.9

    7. **社区支持**:通过《静态分析工具及使用总结(三) - 繁星满空 - BlogJava.htm》等社区文章,开发者可以获取到使用经验和技巧,进一步优化FindBugs的使用。 FindBugs 1.3.9的使用方法: - 安装Eclipse插件:...

    PHPStan是一款PHP静态分析工具

    **PHPStan:PHP静态分析工具详解** PHPStan是一款强大的PHP静态分析工具,旨在提升PHP代码的质量和可维护性。在编程领域,静态分析是检查源代码的过程,无需实际执行代码,即可找出潜在的问题和错误。PHPStan就是...

    cppcheck静态代码分析工具

    **cppcheck静态代码分析工具** cppcheck是一款针对C/C++编程语言的开源静态代码分析工具,旨在帮助开发者在代码执行前发现潜在的错误和问题。它不仅免费,而且无需安装,用户可以简单地解压并运行,使得它成为一个...

    cpp-CppcheckCC代码的静态分析工具

    cppcheck相比其他静态分析工具(如Clang-Tidy, PVS-Studio等),具有跨平台、开源、速度快和误报率低等特点。然而,每个工具都有其特定的优势,选择哪一款取决于项目的需求和团队偏好。 **总结** cppcheck是C++和...

    关于C++静态代码扫描工具及基于jenkins流水线搭建vs报告分析工具开发的小总结

    关于C++静态代码扫描工具及基于jenkins流水线搭建vs报告分析工具开发的小总结

    静态代码检查工具

    PMD是一个多用途的静态分析工具,它可以检测未使用的代码、空的try/catch/finally/switch语句、不必要的对象创建等多种类型的问题。它支持Java、JavaScript、*** Apex、PLSQL、Apache Velocity和XML等多种语言。PMD...

    论文研究-PHP源码静态审计工具的分析与研究 .pdf

    本文作者针对现有的PHP静态源码审计工具进行了深入的分析和总结,以期降低工具的误报率和漏报率。通过研究和分析,作者提出了改进方案,改进后的工具可以更准确地识别PHP源码中的安全漏洞,帮助安全维护人员有效地...

    Jenkins集成Java 静态代码分析工具调研和引入

    静态分析工具能够在不运行程序的情况下检查代码,提升软件可靠性并节省开发和测试的时间成本。本文章主要探讨了Java静态代码分析工具的引入和集成到Jenkins持续集成流程中。 ### 静态代码分析工具的引入 #### 什么...

    Testbed静态测试使用指南V1.1

    Testbed是一种静态分析工具,旨在帮助开发者在不执行代码的情况下检测软件中的错误、漏洞、代码风格问题以及不符合既定编码标准的情况。下面将详细介绍该指南中的关键知识点。 ### Testbed功能介绍 Testbed软件...

    静态分析中流敏感和上下文敏感的经典文章

    在IT领域,特别是软件工程与安全领域,对软件产品线(Software Product Line,简称SPL)进行静态分析是一项复杂而重要的任务。静态分析是软件开发过程中的一种技术,它不执行程序,而是通过检查源代码来识别潜在的...

    静态页面抓取工具

    总结来说,静态页面抓取工具是IT专业人士获取和分析网络数据的重要工具。httrack和Teleport Pro作为其中的代表,各有特色,能满足不同的抓取需求。正确使用这些工具,可以帮助我们有效地管理信息,为业务决策提供...

    流行的软件测试工具使用总结

    测试完成后,通过分析工具获取请求响应时间统计、资源使用情况统计以及异常情况统计。 - **单元测试**:Compuware提供的单元测试工具能够帮助开发者对软件的最小可测试单元进行验证,确保其按预期工作。为了测试...

Global site tag (gtag.js) - Google Analytics